전송 채널 관리

AWS 리소스에 발생하는 변경 사항을 AWS Config 지속적으로 기록하면서 전송 채널을 통해 알림과 업데이트된 구성 상태를 전송합니다. 전송 채널을 관리하여 구성 업데이트를 AWS Config 보내는 위치를 제어할 수 있습니다.

AWS 계정당 AWS 지역 지역당 전송 채널을 하나만 사용할 수 있으며 전송 채널을 사용해야 AWS Config합니다.

리소스의 구성 변경을 AWS Config 감지하고 알림이 Amazon SNS에서 허용하는 최대 크기를 초과하는 경우 알림에는 구성 항목에 대한 간략한 요약이 포함됩니다. s3BucketLocation 필드에 지정된 Amazon S3 버킷 위치에서 전체 알림을 볼 수 있습니다. 자세한 내용은 크기를 초과한 구성 항목 변경 알림 예를 참조하세요.

참고

AWS Config 에서 사용하는 Amazon S3 버킷에 대한 AWS KMS 암호화를 지원합니다. AWS Config

AWS Key Management Service (AWS KMS) 키 또는 별칭 Amazon 리소스 이름 (ARN) 을 제공하여 Amazon Simple Storage Service (Amazon S3) 버킷으로 전송되는 데이터를 암호화할 수 있습니다. 기본적으로 구성 기록 및 스냅샷 파일을 Amazon S3 버킷으로 전송하고 S3 AES-256 서버 측 암호화 (SSE-S3) 를 사용하여 저장된 데이터를 암호화합니다. AWS Config 하지만 KMS 키 또는 별칭 ARN을 제공하는 AWS Config 경우 AES-256 암호화 대신 해당 KMS 키를 AWS Config 사용합니다.

AWS Config 기본 보존이 활성화된 상태에서 객체 잠금이 활성화된 Amazon S3 버킷으로의 전송 채널을 지원하지 않습니다. 자세한 내용은 S3 객체 잠금 작동 방식을 참조하세요.

주제

• 용어
• 전송 채널 업데이트
• 전송 채널의 이름 바꾸기
• 구성 항목의 구성 요소
• Amazon S3 버킷에 구성 스냅샷 전송
• AWS Config에서 Amazon SNS 주제로 전송하는 알림

용어

구성 항목은 계정에 있는 지원되는 AWS 리소스의 다양한 속성 point-in-time 보기를 나타냅니다. 구성 항목의 구성 요소에는 메타데이터, 속성, 관계, 현재 구성 및 관련 이벤트가 포함됩니다. AWS Config 기록 중인 리소스 유형의 변경을 감지할 때마다 구성 항목을 만듭니다. 예를 들어 Amazon S3 버킷을 기록하는 경우 AWS Config , 버킷이 생성, 업데이트 또는 삭제될 때마다 구성 항목을 AWS Config 생성합니다. 설정한 기록 빈도에 따라 구성 항목을 AWS Config 생성하도록 선택할 수도 있습니다.

구성 기록은 임의의 기간 동안 지정된 리소스에 대한 구성 항목의 모음입니다. 구성 기록을 통해 리소스가 처음 생성된 시간, 리소스가 지난 한 달간 구성된 방법, 어제 오전 9시에 도입된 구성 변경에 대한 질문에 답할 수 있습니다. 구성 기록은 다양한 형식으로 제공됩니다. AWS Config 는 기록되는 각 리소스 유형에 대한 구성 기록 파일을 지정한 Amazon S3 버킷에 자동으로 전송합니다. AWS Config 콘솔에서 지정된 리소스를 선택하고 타임라인을 사용하여 해당 리소스의 모든 이전 구성 항목으로 이동할 수 있습니다. 또한 API에서 리소스의 구성 기록 항목에 액세스할 수도 있습니다.

구성 스냅샷은 계정에 있는 지원되는 리소스에 대한 구성 항목의 모음입니다. 이 구성 스냅샷은 기록 중인 리소스와 그 구성의 전체 사진입니다. 구성 스냅샷은 구성의 유효성을 검사할 때 유용한 도구일 수 있습니다. 예를 들어, 잘못 구성되었거나 없어야 하는 리소스의 구성 스냅샷을 정기적으로 검토하고자 할 수 있습니다. 구성 스냅샷은 여러 형식으로 제공됩니다. 구성 스냅샷이 지정한 Amazon Simple Storage Service(S3) 버킷으로 전달되도록 할 수 있습니다. 또한 AWS Config 콘솔에서 특정 시점을 선택하고 리소스 간의 관계를 사용하여 구성 항목의 스냅샷을 탐색할 수 있습니다.

구성 AWS Config 스트림은 기록 중인 리소스의 모든 구성 항목을 자동으로 업데이트한 목록입니다. 리소스가 생성, 수정 또는 삭제될 때마다 AWS Config 는 구성 항목을 만들고 구성 스트림에 추가합니다. 구성 스트림은 선택한 Amazon Simple Notification Service(SNS) 주제를 사용하여 작동합니다. 구성 스트림은 구성 변경이 발생할 때 이를 관찰하여 잠재적 문제를 발견하고, 특정 리소스가 변경될 경우 알림을 생성하거나, AWS 리소스 구성을 반영해야 하는 외부 시스템을 업데이트하는 데 유용합니다.

전송 채널 업데이트

전송 채널을 업데이트할 때 다음 옵션을 설정할 수 있습니다.

• 구성 스냅샷과 구성 기록 파일을 AWS Config 보내는 Amazon S3 버킷입니다.

• Amazon S3 버킷에 구성 스냅샷을 전송하는 빈도 AWS Config

• 구성 변경에 대한 알림을 AWS Config 보내는 Amazon SNS 주제.

전송 채널을 업데이트하려면 (콘솔)

AWS Config 콘솔을 사용하여 Amazon S3 버킷과 전송 채널의 Amazon SNS 주제를 설정할 수 있습니다. 이러한 설정을 관리하는 단계는 콘솔을 AWS Config 사용한 설정 단원을 참조하십시오.

이 콘솔은 전송 채널 이름을 바꾸거나, 구성 스냅샷의 빈도를 설정하거나, 전송 채널을 삭제하기 위한 옵션을 제공하지 않습니다. 이러한 작업을 수행하려면, AWS Config API 또는 AWS SDK 중 하나를 사용해야 합니다. AWS CLI

전송 채널 (AWS SDK) 을 업데이트하려면

다음 코드 예제는 PutDeliveryChannel의 사용 방법을 보여줍니다.

CLI

AWS CLI

전송 채널을 만들려면

다음 명령은 전송 채널의 설정을 JSON 코드로 제공합니다.

aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

deliveryChannel.json파일은 전송 채널 속성을 지정합니다.

{
    "name": "default",
    "s3BucketName": "config-bucket-123456789012",
    "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
    "configSnapshotDeliveryProperties": {
        "deliveryFrequency": "Twelve_Hours"
    }
}

이 예에서는 다음 속성을 설정합니다.

name- 전송 채널의 이름. 기본적으로 AWS Config는 새 전송 default 채널에 이름을 할당합니다. 명령을 사용하여 전송 채널 이름을 업데이트할 수 없습니다. put-delivery-channel 이름을 변경하는 단계는 전송 채널 이름 변경을 참조하십시오. s3BucketName - AWS Config가 구성 스냅샷과 구성 기록 파일을 전송하는 Amazon S3 버킷의 이름. 다른 AWS 계정에 속한 버킷을 지정하는 경우 해당 버킷에는 Config에 액세스 권한을 부여하는 정책이 있어야 합니다. AWS 자세한 내용을 알아보려면 Amazon S3 버킷에 대한 권한을 참조하세요.

snsTopicARN- Config가 구성 변경에 대한 알림을 보내는 Amazon SNS 주제의 Amazon 리소스 이름 (ARN). 다른 계정에서 주제를 선택하는 경우 주제에 AWS Config에 대한 액세스 권한을 부여하는 정책이 있어야 합니다. AWS 자세한 내용은 Amazon SNS 주제에 대한 권한을 참조하십시오.

configSnapshotDeliveryProperties- Config가 구성 스냅샷을 제공하는 빈도와 AWS 주기적인 Config 규칙에 대한 평가를 호출하는 빈도를 설정하는 deliveryFrequency 속성을 포함합니다.

명령이 성공하면 AWS Config는 출력을 반환하지 않습니다. 전송 채널의 설정을 확인하려면 명령을 실행합니다. describe-delivery-channels

• API 세부 정보는 AWS CLI 명령 PutDeliveryChannel참조를 참조하십시오.

PowerShell

도구: PowerShell

예 1: 이 예시는 기존 전송 채널의 전송 빈도 속성을 변경합니다.

Write-CFGDeliveryChannel -ConfigSnapshotDeliveryProperties_DeliveryFrequency TwentyFour_Hours -DeliveryChannelName default -DeliveryChannel_S3BucketName config-bucket-NA -DeliveryChannel_S3KeyPrefix my

• API 세부 정보는 AWS Tools for PowerShell Cmdlet 참조를 참조하십시오 PutDeliveryChannel.

(선택 사항) 다음 describe-delivery-channels 명령을 사용하여 전송 채널 설정이 업데이트되었는지 확인할 수 있습니다.

$ aws configservice describe-delivery-channels
{
    "DeliveryChannels": [
        {
            "configSnapshotDeliveryProperties": {
                "deliveryFrequency": "Twelve_Hours"
            },
            "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

다음 코드 예제는 DescribeDeliveryChannels의 사용 방법을 보여줍니다.

CLI

AWS CLI

전송 채널에 대한 세부 정보를 보려면

다음 명령은 전송 채널에 대한 세부 정보를 반환합니다.

aws configservice describe-delivery-channels

출력:

{
    "DeliveryChannels": [
        {
            "snsTopicARN": "arn:aws:sns:us-east-1:123456789012:config-topic",
            "name": "default",
            "s3BucketName": "config-bucket-123456789012"
        }
    ]
}

• API 세부 정보는 AWS CLI 명령 DescribeDeliveryChannels참조를 참조하십시오.

PowerShell

도구: PowerShell

예 1: 이 예시에서는 해당 지역의 배송 채널을 검색하고 세부 정보를 표시합니다.

Get-CFGDeliveryChannel -Region eu-west-1 | Select-Object Name, S3BucketName, S3KeyPrefix, @{N="DeliveryFrequency";E={$_.ConfigSnapshotDeliveryProperties.DeliveryFrequency}}

출력:

Name    S3BucketName               S3KeyPrefix DeliveryFrequency
----    ------------               ----------- -----------------
default config-bucket-NA my          TwentyFour_Hours

• API 세부 정보는 AWS Tools for PowerShell Cmdlet 참조를 참조하십시오 DescribeDeliveryChannels.

전송 채널의 이름 바꾸기

전송 채널 이름을 변경하려면 이를 삭제한 후 원하는 이름의 새 전송 채널을 만들어야 합니다. 전송 채널을 삭제하기 전에 구성 레코더를 일시적으로 중지해야 합니다.

AWS Config 콘솔은 전송 채널을 삭제하는 옵션을 제공하지 않으므로 AWS CLI, AWS Config API 또는 SDK 중 하나를 사용해야 합니다. AWS

전송 채널의 이름을 바꾸려면(AWS CLI)

를 사용하여 전송 채널 이름 변경 AWS CLI

1. 다음 stop-configuration-recorder 명령을 사용하여 구성 레코더를 중지합니다.

   $ aws configservice stop-configuration-recorder --configuration-recorder-name configRecorderName

2. 다음 describe-delivery-channels 명령을 사용하고, 전송 채널의 속성을 적어둡니다.

   $ aws configservice describe-delivery-channels
   {
       "DeliveryChannels": [
           {
               "configSnapshotDeliveryProperties": {
                   "deliveryFrequency": "Twelve_Hours"
               },
               "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
               "name": "default",
               "s3BucketName": "config-bucket-123456789012"
           }
       ]
   }

3. 다음 delete-delivery-channel 명령을 사용하여 전송 채널을 삭제합니다.

   $ aws configservice delete-delivery-channel --delivery-channel-name default

4. 다음 put-delivery-channel 명령을 사용하여 원하는 이름의 전송 채널을 만듭니다.

   $ aws configservice put-delivery-channel --delivery-channel file://deliveryChannel.json

   deliveryChannel.json 파일은 전송 채널 속성을 지정합니다.

   {
       "name": "myCustomDeliveryChannelName",
       "s3BucketName": "config-bucket-123456789012",
       "snsTopicARN": "arn:aws:sns:us-east-2:123456789012:config-topic",
       "configSnapshotDeliveryProperties": {
           "deliveryFrequency": "Twelve_Hours"
       }
   }

5. 다음 start-configuration-recorder 명령을 사용하여 기록을 재개합니다.

   $ aws configservice start-configuration-recorder --configuration-recorder-name configRecorderName